kubernetes node 節點啓動報錯: No valid private key

原創 無鋒劍 2019-05-07 12:50

kubernetes node 節點啓動報錯故障排查

報錯場景:

kubernetes 集羣安裝部署期間,部署node節點kubelet服務時,執行  systemctl start kubelet ,tailf /var/log/messages 看到大量證書驗證報錯;

報錯內容:

May  5 22:23:40 kubnode-01 kubelet: I0505 22:23:40.583305    5336 feature_gate.go:206] feature gates: &{map[]}
May  5 22:23:40 kubnode-01 kubelet: I0505 22:23:40.589637    5336 mount_linux.go:180] Detected OS with systemd
May  5 22:23:40 kubnode-01 kubelet: I0505 22:23:40.589680    5336 server.go:407] Version: v1.13.4
May  5 22:23:40 kubnode-01 kubelet: I0505 22:23:40.589732    5336 feature_gate.go:206] feature gates: &{map[]}
May  5 22:23:40 kubnode-01 kubelet: I0505 22:23:40.589825    5336 feature_gate.go:206] feature gates: &{map[]}
May  5 22:23:40 kubnode-01 kubelet: I0505 22:23:40.589899    5336 plugins.go:103] No cloud provider specified.
May  5 22:23:40 kubnode-01 kubelet: I0505 22:23:40.589916    5336 server.go:523] No cloud provider specified: "" from the config file: ""
May  5 22:23:40 kubnode-01 kubelet: I0505 22:23:40.589938    5336 bootstrap.go:65] Using bootstrap kubeconfig to generate TLS client cert, key and kubeconfig file
May  5 22:23:40 kubnode-01 kubelet: I0505 22:23:40.593022    5336 bootstrap.go:96] No valid private key and/or certificate found, reusing existing private key or creating a new one
May  5 22:23:40 kubnode-01 kubelet: I0505 22:23:40.612493    5336 bootstrap.go:239] Failed to connect to apiserver: Get https://172.20.101.157:6443/healthz?timeout=1s: x509: certificate signed by unknown authority
May  5 22:23:42 kubnode-01 kubelet: I0505 22:23:42.909358    5336 bootstrap.go:239] Failed to connect to apiserver: Get https://172.20.101.157:6443/healthz?timeout=1s: x509: certificate signed by unknown authority
May  5 22:23:45 kubnode-01 kubelet: I0505 22:23:45.036663    5336 bootstrap.go:239] Failed to connect to apiserver: Get https://172.20.101.157:6443/healthz?timeout=1s: x509: certificate signed by unknown authority

解決辦法如下:

在master節點創建kubelet-bootstrap用戶

[root@k8s-node01 ~]# 

kubectl create clusterrolebinding kubelet-bootstrap --clusterrole=system:node-bootstrapper --user=kubelet-bootstrap
clusterrolebinding "kubelet-bootstrap" created

node節點執行啓動服務

[root@k8s-node01 ~]# systemctl start kubelet

node 節點kubelet啓動後,會向master申請csr證書,需要在master上同意證書申請

master節點執行命令,查看csr狀態是Pending

[root@kubm-01 ~]# kubectl get csr
NAME                                                   AGE     REQUESTOR           CONDITION
node-csr-mgZK4Cqvb7kZA7tDqVmszNQYLq27Yydia5LCqKJnnEI   4m11s   kubelet-bootstrap   Pending

master節點執行命令批准證書

[root@kubm-01 ~]# 
kubectl certificate approve node-csr-mgZK4Cqvb7kZA7tDqVmszNQYLq27Yydia5LCqKJnnEI

master節點執行命令接受證書申請,同意後查看狀態變成 Approved,Issued

[root@kubm-01 ~]# kubectl get csr
NAME                                                   AGE     REQUESTOR           CONDITION
node-csr-mgZK4Cqvb7kZA7tDqVmszNQYLq27Yydia5LCqKJnnEI   5m39s   kubelet-bootstrap   Approved,Issued

node節點驗證

在node節點ssl目錄可以看到,多了4個kubelet的證書文件

[root@kubnode-02 kubernetes]# ls /kubernetes/ssl/kubelet*
/kubernetes/ssl/kubelet-client-2019-05-05-22-15-53.pem  /kubernetes/ssl/kubelet-client-current.pem  /kubernetes/ssl/kubelet.crt  /kubernetes/ssl/kubelet.key

刪除csr證書 (按需執行)

[root@kubm-01 ~]# kubectl delete csr node-csr-mgZK4Cqvb7kZA7tDqVmszNQYLq27Yydia5LCqKJnnEI
certificatesigningrequest.certificates.k8s.io "node-csr-mgZK4Cqvb7kZA7tDqVmszNQYLq27Yydia5LCqKJnnEI" deleted

驗證刪除:

kubectl get csr

返回爲空

排查過程有點坑。。。。。。。

參考文檔:

https://www.liuyalei.top/1433.html

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

數據結構筆記淺記(十四) 樹

二叉樹 「二叉樹 binary tree」是一種非線性數據結構,代表“祖先”與“後代”之間的派生關係,體現了“一分爲二” 的分治邏輯。與鏈表類似,二叉樹的基本單元是節點,每個節點包含值、左子節點引用和右子節點引用。   每個節點都有兩個引

原創 2024-05-14 00:28:41

RK3568驅動指南|第二篇 字符設備基礎-第15章 文件私有數據實驗

瑞芯微RK3568芯片是一款定位中高端的通用型SOC,採用22nm製程工藝,搭載一顆四核Cortex-A55處理器和Mali G52 2EE 圖形處理器。RK3568 支持4K 解碼和 1080P 編碼,支持SATA/PCIE/USB3.

原創 2024-04-11 22:53:56

UE4的public構造函數調用時報錯private問題

基類未UObject 聲明: public:     UGameEventBase(FString _id,FTransform _SpawnTransform); 構造  UGameEventBase NewEvent=UGameEve

游戏鸟 2020-07-06 09:06:05

@private @protected @public

@private  作用範圍只在自身類 @protected 作用範圍在自身類及繼承自己的子類(默認屬性) @public 在系統中的任何地方都可以使用

_zgk_ 2020-07-05 04:46:04

Best Free Online Programming Books

轉自:http://designzum.com/2014/02/05/11-best-free-online-programming-books/ Learning is the simple process of acquiring

cswolf 2020-07-05 04:28:45

近期的一些可能工作

1、一個畢業論文管理系統 2、讓辦公用的電腦需要登記纔可使用,沒有登記的電腦一律自動彈出登記頁面,已登記的可以直接上網,這樣在以後查找中毒機器時可以迅速定位到個人。(可能涉及到hotspot及radius) 3、 測試一下海蜘蛛路由,看看

liswa 2020-07-04 04:35:41

暈啊,格式化一個盤了

今天中午想在筆記本上安裝個Linux,因爲Mandriva的盤讀不出來,所以就準備安裝uBuntu,一開始很順利,但是到安裝92%的時候出問題了,進度條等了30分鐘沒有動,於是只好重啓,重新安裝,又格式化了一次,但是還是不行,就這樣重新進

liswa 2020-07-04 04:35:41

private、protected、public和internal的區別

private是完全私有的,只有在類自己裏面可以調用,在類的外部和子類都不能調用,子類也不能繼承父類的private的屬性和方法。 protected雖然可以被外界看到,但外界卻不能調用,只有自己及自己的子類可以調用(protec

黑白丑 2020-07-02 02:16:05

iOS9 class dump header

獲取系統私有API,網上有很多資料總結了一下就三種方式: 使用class-dump可以提取系統私有API列表 使用class-dump+DumpFrameworks.pl,這個可以一次性提取所有系統Framework與Priva

GGGHub 2020-06-27 17:46:26

包和引入(三)

包的作用和定義 同java中的包,Scala中的包主要用於大型工程代碼的組織同時也解決命名衝突的問 題。Scala中的包與java有着諸多的相似之處,但Scala語言中的包更加靈活。 包定義方式一: //將代碼組織到cn.s

java大数据编程 2020-06-20 09:18:26

【Java】abstract,final,static,private,protected,public的區別

【abstract】抽象的1. abstract可以修飾類和成員方法,被abstract修飾的類稱爲抽象類,被abstract修飾成員方法叫抽象方法。抽象類不一定有抽象方法,但擁有抽象方法的類一定是抽象類;2. 被abstract修飾的類

超新星X 2020-06-16 12:47:14

Redis(2)基本鍵值操作

Redis Redis(1)安裝 & 配置Redis(2)基本鍵值操作Redis(3)常用維護操作Redis(4)客戶端連接:JavaSpring 集成 Reids(Spring-data-redis)Redis 鍵值基本操作以下只介紹

Al_assad 2020-06-27 15:59:34

Android日記之2012\01\12

今天對Map有了一個小接觸,不過這個map不是google的Maps library,而是java.util.Map的Map。 說來慚愧

iteye_10430 2020-06-25 10:14:56

github ssh key

Checking for existing SSH keys Before you generate an SSH key, you can check to see if you have any existing SSH k

foryouslgme 2020-06-24 18:19:09

Redis的通用指令

卑微小吳勵志寫博客第24天。 前面主要學習了redis的五種數據類型,string,hash,list,set,sorted_set。今天學習一下redis的通用指令。 key的通用指令 key的基本操作 刪除指定key d

xiaobai_mantoudd 2020-06-24 00:46:02